Etiqueta: Seguridad de la red Página 5 de 16

Los investigadores de ciberseguridad han llamado la atención sobre un ataque cibernético en el que los actores de amenaza desconocidos desplegaron una herramienta de monitoreo de punto final de código abierto y una herramienta forense digital llamada Velociraptor, que ilustra el abuso continuo de software legítimo para fines maliciosos. «En este incidente, el actor de amenazas utilizó la herramienta para descargar y ejecutar el código de Visual Studio con la probable intención de crear un túnel a un servidor de comando y control (C2) controlado por el atacante», dijo el equipo de investigación de la Unidad de Amenazas de Sophos Counter Amenazas en un informe publicado esta semana. Si bien se sabe que los actores de amenaza adoptan técnicas de vida-de la tierra (LOTL) o aprovechan las herramientas legítimas de monitoreo y gestión remota (RMM) en sus ataques, el uso de Velociraptor señala una evolución táctica, donde los programas de respuesta a incidentes se están utilizando para obtener un punto de apoyo y minimizar la necesidad de tener para implementar su propio malware. Un análisis posterior del incidente ha revelado que los atacantes utilizaron la utilidad de Windows MSIEXEC para descargar un instalador MSI de un dominio de trabajadores de CloudFlare, que sirve como un campo de puesta en escena para otras herramientas utilizadas por ellos, incluida una herramienta de túnel de CloudFlare y una utilidad de administración remota conocida como radmin. El archivo MSI está diseñado para instalar Velociraptor, que luego establece contacto con otro dominio de trabajadores de CloudFlare. Luego se aprovecha el acceso para descargar el código Visual Studio del mismo servidor de puesta en escena utilizando un comando codificado PowerShell y ejecutar el editor de código fuente con la opción Túnel habilitada para permitir tanto el acceso remoto como la ejecución del código remoto. Los actores de amenaza también se han observado utilizando la utilidad de Windows MSIEXEC nuevamente para descargar cargas útiles adicionales de los trabajadores[.]carpeta de desarrollo. «Las organizaciones deben monitorear e investigar el uso no autorizado de Velociraptor y tratar las observaciones de esta Tradecraft como un precursor del ransomware», dijo Sophos. «Implementar un sistema de detección y respuesta de punto final, el monitoreo de herramientas inesperadas y comportamientos sospechosos, y seguir las mejores prácticas para asegurar sistemas y generar copias de seguridad puede mitigar la amenaza de ransomware». La divulgación se produce cuando las empresas de ciberseguridad cazadores y Permiso detallaron una campaña maliciosa que ha aprovechado a los equipos de Microsoft para el acceso inicial, lo que refleja un creciente patrón de actores de amenaza que arman el papel confiable y profundamente integrado de la plataforma en las comunicaciones empresariales para el despliegue de malware. Estos ataques comienzan con los actores de amenaza que utilizan inquilinos recién creados o comprometidos para enviar mensajes directos o iniciar llamadas a objetivos, hacerse pasar por su parte de equipos de mesa u otros contactos confiables para instalar software de acceso remoto como Anydesk, Dwagent o Asistencia rápida, y aprovechar el control de los sistemas de víctimas para entregar malware. Si bien se han vinculado técnicas similares que involucran herramientas de acceso remoto a grupos de ransomware como Black Basta desde mediados de 2014, estas campañas más nuevas renuncian al paso de bombardeo de correo electrónico preliminar y, en última instancia, utilizan el acceso remoto para entregar una carga útil de PowerShell con capacidades comúnmente asociadas con el robo de credenciales, la persistencia y la ejecución de código remoto. «Los señuelos utilizados para iniciar el compromiso están adaptados a parecer rutinarios e irremediables, generalmente enmarcados, ya que la asistencia de TI relacionada con el rendimiento de los equipos, el mantenimiento del sistema o el soporte técnico general», dijo el investigador de Permiso ISUF Deliu. «Estos escenarios están diseñados para combinarse con el fondo de la comunicación corporativa cotidiana, por lo que es menos probable que desencadenen sospechas». Vale la pena señalar que se han empleado tácticas similares para propagar familias de malware como Darkgate y Matanbuchus Malware durante el año pasado. Los ataques también sirven a un indicador de la credencial de Windows para engañar a los usuarios para que ingresen sus contraseñas con la apariencia de una solicitud de configuración del sistema benigna, que luego se cosechan y guardan en un archivo de texto en el sistema. «El phishing de los equipos de Microsoft ya no es una técnica complementaria: es una amenaza activa y en evolución que evita las defensas de correo electrónico tradicionales y la confianza en las herramientas de colaboración», dijeron los investigadores de seguridad Alon Klayman y Tomer Kachlon. «Al monitorear registros de auditoría como chatcreated y mensajes de mensajes, enriqueciendo señales con datos contextuales y capacitar a los usuarios para detectarlo/suplantaciones de la mesa de ayuda, los equipos de SOC pueden cerrar esta nueva brecha antes de explotarse». Los hallazgos también siguen el descubrimiento de una nueva campaña malvertida que combina un cargo legítimo[.]COM Enlace con Active Directory Federation Services (ADFS) para redirigir a los usuarios a las páginas de phishing de Microsoft 365 que son capaces de recolectar información de inicio de sesión. La cadena de ataque, en pocas palabras, comienza cuando una víctima hace clic en un enlace patrocinado por Rogue en las páginas de resultados del motor de búsqueda, lo que desencadena una cadena de redirección que finalmente los lleva a una página de inicio de sesión falsa que imita a Microsoft. «Resulta que el atacante había establecido un inquilino personalizado de Microsoft con los servicios de la Federación de Active Directory (ADFS) configurados», dijo Luke Jennings de Push Security. «Esto significa que Microsoft realizará la redirección al dominio malicioso personalizado». «Si bien esto no es una vulnerabilidad per se, la capacidad de los atacantes para agregar su propio servidor Microsoft ADFS para alojar su página de phishing y hacer que Microsoft redirige a ella es un desarrollo preocupante que hará que las detecciones basadas en URL sean aún más desafiantes de lo que ya son».

AUG 30, 2025RAVIE LAKSHMANZERO-DAY / Vulnerabilidad WhatsApp ha abordado una vulnerabilidad de seguridad en sus aplicaciones de mensajería para Apple iOS y macOS que, según dijo, puede haber sido explotado en la naturaleza junto con un defecto de Apple recientemente revelado en ataques de día cero dirigidos. La vulnerabilidad, CVE-2025-55177 (puntaje CVSS: 8.0), se relaciona con un caso de autorización insuficiente de mensajes de sincronización de dispositivos vinculados. Los investigadores internos en el equipo de seguridad de WhatsApp han sido acreditados por descubrir y volver a hacer el error. La compañía propiedad de Meta dijo que el problema «podría haber permitido que un usuario no relacionado active el procesamiento de contenido desde una URL arbitraria en el dispositivo de un objetivo». El defecto afecta las siguientes versiones: WhatsApp para iOS antes de la versión 2.25.21.73 WhatsApp Business para iOS Versión 2.25.21.78, y WhatsApp para Mac Versión 2.25.21.78 también evaluó que la deficiencia puede haber sido encadenada con CVE-2025-43300, una vulnerabilidad que afecta a iOS, iPados y MacOs, como un ataques específicos de un shatications. CVE-2025-43300 fue revelado por Apple la semana pasada la semana pasada como haber sido armado en un «ataque extremadamente sofisticado contra individuos específicos específicos». La vulnerabilidad en cuestión es una vulnerabilidad de escritura fuera de los límites en el marco ImageIO que podría resultar en la corrupción de la memoria al procesar una imagen maliciosa. Donncha ó Cearbhaill, jefe del laboratorio de seguridad de Amnistía Internacional, dijo que WhatsApp ha notificado a un número no especificado de personas que creen que fueron atacados por una campaña de spyware avanzada en los últimos 90 días utilizando CVE-2025-55177. En la alerta enviada a las personas específicas, WhatsApp también ha recomendado realizar un reinicio de fábrica de dispositivos completo y mantener su sistema operativo y la aplicación WhatsApp actualizada para una protección óptima. Actualmente no se sabe quién, o qué proveedor de spyware, está detrás de los ataques. Ó Cearbhaill describió el par de vulnerabilidades como un ataque de «clic cero», lo que significa que no requiere ninguna interacción del usuario, como hacer clic en un enlace, para comprometer su dispositivo. «Las primeras indicaciones son que el ataque de WhatsApp está afectando tanto a los usuarios de iPhone como a Android, a los individuos de la sociedad civil entre ellos», dijo Ó Cearbhaill. «El spyware del gobierno continúa representando una amenaza para los periodistas y los defensores de los derechos humanos».

Aug 29, 2025Ravie Lakshmananvulnerabilidad / Seguridad web Se han divulgado tres nuevas vulnerabilidades de seguridad en la plataforma Sitecore Experience que podrían explotarse para lograr la divulgación de información y la ejecución de código remoto. Los fallas, según WatchToWr Labs, se enumeran a continuación-CVE-2025-53693-Preisoning de caché HTML a través de reflexiones inseguras CVE-2025-53691-Ejecución remota de código remoto (RCE) a través de la deserialización insegura CVE-2025-53694-Información de información Información en el servicio itemeRem. Sitecore publicó parches de enfoque de fuerza brute para las dos primeras deficiencias en junio y para el tercero de julio de 2025, y la compañía afirma que «la explotación exitosa de las vulnerabilidades relacionadas podría conducir a la ejecución de código remoto y el acceso no autorizado a la información». The findings build on three more flaws in the same product that were detailed by watchTowr back in June – CVE-2025-34509 (CVSS score: 8.2) – Use of hard-coded credentials CVE-2025-34510 (CVSS score: 8.8) – Post-authenticated remote code execution via path traversal CVE-2025-34511 (CVSS score: 8.8) – La ejecución de código remoto post-autenticado a través de Sitecore PowerShell Extension WatchToWr Labs, el investigador Piotr Bazydlo dijo que los errores recién descubiertos podrían diseñarse en una cadena de exploits al reunir la vulnerabilidad de envenenamiento de caché HTML de HTML con un problema de ejecución de código remoto post-autenticado para comprometer una instancia de plataforma de experiencia sitios totalmente pospuesta. Toda la secuencia de eventos que conducen a la ejecución del código es la siguiente: un actor de amenaza podría aprovechar la API del servicio de elementos, si se expone, para enumerar trivialmente las claves de caché HTML almacenadas en el caché Sitecore y enviar solicitudes de envenenamiento de caché HTTP a esas claves. Esto podría estar encadenado con CVE-2025-53691 para proporcionar un código HTML malicioso que finalmente resulta en la ejecución del código mediante una llamada de información binaria sin restricciones. «Nos las arreglamos para abusar de una ruta de reflexión muy restringida para llamar a un método que nos permite envenenar cualquier clave de caché HTML», dijo Bazydlo. «Ese único primitivo abrió la puerta para secuestrar páginas de plataforma de experiencia Sitecore, y desde allí, dejando caer JavaScript arbitraria para activar una vulnerabilidad posterior a la Auth RCE».

Aug 29, 2025 the Hacker Newscloud Security / Generation AI Imagen esto: su equipo lanza un código nuevo, pensando que todo está bien. Pero oculto hay un pequeño defecto que explota en un gran problema una vez que golpea la nube. Lo siguiente que sabe es que los piratas informáticos están y su empresa está lidiando con un desastre que cuesta millones. Aterrador, ¿verdad? En 2025, la violación promedio de datos llega a las empresas con una factura de $ 4.44 millones a nivel mundial. ¿Y adivina qué? Una gran parte de estos dolores de cabeza proviene de los deslizamientos de seguridad de aplicaciones, como los ataques web que enganchan las credenciales y causan estragos. Si estás en Dev, Ops o Security, probablemente has sentido ese estrés, alertas sin restricciones, equipos que discuten sobre quién tiene la culpa y las arreglos que llevan una eternidad. Pero bueno, no tiene que ser así. ¿Qué pasaría si pudiera detectar esos riesgos temprano, desde el momento, el código se escribe hasta cuando se está ejecutando en la nube? Esa es la magia de la visibilidad de código a nube, y está cambiando cómo los equipos inteligentes manejan la seguridad de las aplicaciones. Nuestro próximo seminario web, «Visibilidad de código a nube: The New Foundation for Modern AppSEC», es su oportunidad de aprender cómo. Está sucediendo el 8 de septiembre de 2025, a solo unas semanas de distancia. Esta no es una conferencia aburrida; Es una verdadera charla de expertos que han estado allí, llenos de consejos que puede usar de inmediato. ¡Regístrese para el seminario web ahora y tome su lugar antes de que se vaya! El verdadero dolor de cabeza que se esconde en sus aplicaciones seamos honestos: a medida que las empresas crecen y empujen más trabajo a los equipos de desarrollo, las cosas se desordenan. Los riesgos aparecen en el código, pero solo aparecen más tarde en la nube, lo que lleva a la confusión, las soluciones lentas y los atacantes que reciben el salto sobre ti. Informes recientes muestran que el manejo ineficiente de vulnerabilidad es un dolor superior para el 32% de las organizaciones, y asegurar herramientas de IA como Genai está justo detrás del 30%. Peor aún, el 97% de las empresas están lidiando con problemas de seguridad relacionados con Genai. Sin una vista clara de código a nube, básicamente está adivinando, y eso deja las puertas abiertas para los malos. He conversado con la gente en las trincheras que comparten historias de guerra: las noches tardías luchando contra los agujeros de parche que podrían haberse solucionado días antes. Es drenador, y con las violaciones que cuestan más que nunca, está llegando a la línea de fondo. ¿La buena noticia? La visibilidad de código a nube conecta los puntos, dándole plena vista a vulnerabilidades, secretos y errores de configuración. Ayuda a los equipos a atrapar problemas temprano, solucionarlos rápidamente y a trabajar juntos mejor, sin más señales. Con lo que se alejará: simples pasos para nivelar su seguridad en este chat rápido de 60 minutos, nuestros profesionales desglosarán por qué este enfoque se está convirtiendo en una imprescindible para los programas de seguridad de aplicaciones. Gartner dice que para 2026, el 40% de las compañías se subirán a herramientas como ASPM para manejar los riesgos más inteligentes. Lo mantendremos directo, sin sobrecarga tecnológica, solo cosas prácticas. Esto es lo que obtendrá: obtenga a todos en la misma página: vea cómo la vinculación del código de los riesgos para el comportamiento en la nube crea un plan compartido simple. Los equipos de Dev, Ops y Security finalmente pueden unirse, reducir el ruido y acelerar la retroalimentación. Concéntrese en lo que realmente importa: aprenda formas fáciles de mapear los riesgos y concentrarse en sus aplicaciones clave. Compartiremos ejemplos reales, como rastrear un fallo de código a su punto débil de la nube, para que pueda conectar agujeros antes de que los hackers noten. Arregle las cosas más rápido: tome ideas paso a paso para automatizar las soluciones y el tiempo de remediación de recorte; algunos equipos ven caídas del 30% o más en vulnerabilidades y días afeitados. Imagine agregar esto a su flujo de trabajo sin ralentizar su trabajo. Manténgase por delante de las nuevas amenazas: cubriremos temas calientes como el uso seguro de la IA y las reglas que presionan para una mejor seguridad. Además, una lista de verificación útil para verificar su configuración y victorias rápidas para probar mañana. Las personas que se han unido a sesiones similares dicen que cambiaron cómo funcionan: «Conectó los puntos y nos impidió perseguir sombras», me dijo un tipo de operaciones. ¿Listo para hacer ese cambio para tu equipo? Regístrese para el seminario web ahora y comience a convertir esas ideas en acción. Mira este seminario web ahora ¿Por qué saltar ahora? Las amenazas no esperan con grandes ataques que aparecen en los titulares, como la violación de Powerschool que golpea a millones o ransomware que se meten con las cadenas de suministro en 2025, la retención no es inteligente. La visibilidad de código a nube no es una tecnología elegante; Es su escudo hornear la seguridad de principio a fin. No espere una crisis, avance y haga que sus aplicaciones sean más difíciles. Los asientos van rápidamente, así que regístrese hoy. También obtendrá una lista de verificación ASPM gratuita y la grabación para ver más tarde. Es una inversión pequeña de tiempo para la gran tranquilidad. Regístrese para el seminario web ahora, ¡no puedo esperar a verte allí! ¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Síguenos en Google News, Twitter y LinkedIn para leer más contenido exclusivo que publicamos.

Aug 29, 2025Ravie Lakshmananmalware / Windows Security Ciberseguity Investigadores han descubierto una campaña de delito cibernético que está utilizando trucos de malvertición para dirigir a las víctimas a sitios fraudulentos para ofrecer un nuevo robador de información llamado TamperedChef. «El objetivo es atraer a las víctimas a la descarga e instalación de un editor de PDF troyanizado, que incluye un malware que roba información tampedChef», dijeron los investigadores de Truesec Mattias Wåhlén, Nicklas Keijser y Oscar Lejerbäck Wolf publicado en un informe publicado el miércoles. «El malware está diseñado para cosechar datos confidenciales, incluidas credenciales y cookies web». En el corazón de la campaña se encuentra el uso de varios sitios falsos para promover un instalador para un editor PDF gratuito llamado AppSuite PDF Editor que, una vez instalado y lanzado, muestra al usuario un aviso para aceptar los términos de servicio y la política de privacidad del software. En segundo plano, sin embargo, el programa de configuración hace solicitudes encubiertas a un servidor externo para soltar el programa del editor PDF, al tiempo que configura la persistencia en el host realizando cambios en el registro de Windows para garantizar que el ejecutable descargado se inicie automáticamente después de un reinicio. La clave de registro contiene un parámetro de argumentos -cm para aprobar instrucciones al binario. La compañía de seguridad cibernética alemana G Data, que también analizó la actividad, dijo que los diversos sitios web que ofrecen estos editores de PDF descargan el mismo instalador de configuración, que luego descarga el programa PDF Editor desde el servidor una vez que el usuario acepta el acuerdo de licencia. «Luego ejecuta la aplicación principal sin argumentos, que es equivalente a comenzar la rutina de instalación», dijeron los investigadores de seguridad Karsten Hahn y Louis Sorita. «También crea una entrada automática que suministra el argumento de la línea de comando –cm =-FullUpdate para la próxima ejecución de la aplicación maliciosa». Se evalúa que la campaña comenzó el 26 de junio de 2025, cuando muchos de los sitios falsificados estaban registrados o comenzaron a anunciar el software de edición de PDF a través de al menos cinco campañas de publicidad de Google diferentes. «Al principio, el PDF parece haberse comportado principalmente inofensivo, pero el código incluía instrucciones para verificar regularmente las posibles actualizaciones en un archivo .js que incluye los argumentos -cm», explicaron los investigadores. «A partir del 21 de agosto de 2025, las máquinas que volvieron a llamar recibieron instrucciones que activaron las capacidades maliciosas, un robador de información, denominado ‘TamperedChef’.» Una vez inicializado, el robador recopila una lista de productos de seguridad instalados e intentos para terminar los navegadores web para acceder a datos sensibles, como las credenciales y las cookies. Un análisis posterior de la aplicación con malware por datos G ha revelado que actúa como una puerta trasera, lo que respalda una serie de características-INSTALME, para crear tareas programadas llamadas PDFEDITITORSCheduledTask y PDFEditorScheduledTask que ejecuta la aplicación con-cm =-parcialmente y-cm =-argumentos de copia –CleanUp, que el Uninstaler llama para eliminar los archivos de puerta trasera, no registrar la máquina del servidor y eliminar las dos tareas programadas-Ping, iniciar las comunicaciones con un comando y control (C2) para que las acciones se ejecuten en el Sistema, que, entre otros, permiten la descarga adicional de malware, el exfiltration de datos y los cambios en el registro-CHECK, COLACE C2 CON COMACTAR EL SERVITOR C2 CON CONTACTURA, CON CONTACUARIO, CONFIGURAR DE SERVICIO, BREVES DE REDIVIDADES, BROBA DE REDIVIDADES, CON LE REDIVO DE LEDE CABLE. browser settings, and execute arbitrary commands to query, exfiltrate, and manipulate data associated with Chromium, OneLaunch, and Wave browsers, including credentials, browser history, cookies, or setting custom search engines –reboot, same as –check along with capabilities to kill specific processes «The length from the start of the [ad] Campaña hasta que la actualización maliciosa también fue de 56 días, que está cerca de la duración de los 60 días de una típica campaña de publicidad de Google, lo que sugiere que el actor de amenaza deja que la campaña publicitaria ejecute su curso, maximizando las descargas, antes de activar las características maliciosas «, dijo Truesec. ONESTART, y editor de PDF.

Aug 28, 2025Ravie Lakshmananmalware / Ransomware Ciberseguity Investigadores han descubierto una escapatoria en el mercado de códigos de Visual Studio que permite a los actores de amenaza reutilizar nombres de extensiones previamente eliminadas. El equipo de seguridad de la cadena de suministro de software, ReversingLabs, dijo que hizo el descubrimiento después de identificar una extensión maliciosa llamada «Ahbanc.shiba» que funcionó de manera similar a otras dos extensiones: Ahban.shiba y Ahban.Cychelloworld, que fueron marcadas a principios de marzo. Las tres bibliotecas están diseñadas para actuar como descargador para recuperar una carga útil de PowerShell de un servidor externo que cifra los archivos en una carpeta llamada «TestShiba» en el escritorio de Windows de la víctima y exige un token Shiba inu depositando los activos a una billetera no especificada. Estos esfuerzos sugieren intentos de desarrollo continuos por parte del actor de amenazas. La compañía dijo que decidió profundizar debido al hecho de que el nombre de la nueva extensión («Ahbanc.shiba») era prácticamente el mismo que uno de los otros dos identificados previamente («Ahban.shiba»). Vale la pena señalar que cada extensión tiene que tener una identificación única que sea una combinación del nombre del editor y el nombre de la extensión (es decir, .). En el caso investigado por ReversingLabs, ambas extensiones se diferencian solo por el nombre del editor, mientras que el nombre real de la extensión sigue siendo el mismo. Sin embargo, según la documentación del código de Visual Studio, el El campo especificado en el manifiesto de extensión «debe ser todo minúscula sin espacios» y «debe ser exclusivo del mercado». «Entonces, ¿cómo terminaron las extensiones ahban.shiba y ahbanc.shiba teniendo el mismo nombre a pesar de las reglas de publicación de la documentación oficial?», Preguntó la investigadora de seguridad Lucija Valentić, quien finalmente descubrió que es posible hacerlo una vez que la extensión se elimina del repositorio. Pero este comportamiento no se aplica a los escenarios en los que un autor no publica una extensión. Vale la pena señalar que la capacidad de reutilizar el nombre de las bibliotecas eliminadas también se aplica al repositorio del índice de paquetes de Python (PYPI), como lo demuestra ReversingLabs a principios de 2023. En el momento, se encontró que eliminar un paquete un paquete pondría su nombre «disponible para cualquier otro usuario de PYPI» en el lugar donde la archivos de distribución (una combinación de combinación del nombre del proyecto, el número de versiones y el número y la distribución de su tipo, el Tipo de la distribución, el Tipo de la Distribución, el Tipo de la Distribución, en el tiempo que los Nombre de la Distribución (una combinación de la Combinación del Nombre del Proyecto, y el Tipo de Distribución, y el Tipo de distribución, sean diferentes de los Tipos de la Distribución. Distribución ahora recuperada. Sin embargo, Pypi esconde una excepción donde los nombres de los paquetes PYPI pueden no estar disponibles si fueron utilizados por primera vez por paquetes maliciosos. Parece que Visual Studio Code no tiene una restricción similar para evitar la reutilización de nombres de extensiones maliciosas. El desarrollo, como se observó en registros de chat Black Basta filtrados, muestra cómo los actores de amenaza buscan envenenar registros de código abierto con bibliotecas de ransomware que exigen rescates de víctimas desprevenidas que puedan instalarlos. Esto hace que sea aún más crucial para las organizaciones y desarrolladores adoptar prácticas seguras de desarrollo y monitorear de manera proactiva estos ecosistemas para las amenazas de la cadena de suministro de software. «El descubrimiento de esta laguna expone una nueva amenaza: que el nombre de cualquier extensión eliminada puede ser reutilizada y por cualquiera», dijo Valentić. «Eso significa que si se elimina alguna extensión legítima y muy popular, su nombre está en juego». Los resultados también siguen la identificación de ocho paquetes de NPM maliciosos que se han encontrado que entregan un robo de información sobre el navegador de Google Chrome, dirigido a sistemas de Windows que es capaz de transmitir contraseñas, tarjetas de crédito, datos de billetera de criptomonedas y cookies de usuario a un ferrocarril[.]URL de la aplicación o un webhook de discordia como un mecanismo de respaldo. Los paquetes, publicados por los usuarios llamados RUER y NPJUN, se enumeran a continuación-ToolkDVV (Versiones 1.1.0, 1.0.0) react-sxt (versión 2.4.1) react-typex (versión 0.1.0) react-typexs (versión 0.1.0) react-sdk-solana (versión 2.4.1) react-nativo-nativo (versión 2.4.1)) revshearsshare-solana (vershare-share-sharshare-sharshare-shar 2.4.1) Revshare-SDK-APII (Versión 2.4.1) Lo notable de estos paquetes es el uso de 70 capas de código ofuscado para desempacar una carga útil de Python que está diseñada para facilitar el robo de datos y la exfiltración. «Los repositorios de software de código abierto se han convertido en uno de los principales puntos de entrada para los atacantes como parte de los ataques de la cadena de suministro, con ondas en crecimiento utilizando un tipo de escritura y disfrazamiento, fingiendo ser legítimo», dijo el investigador de seguridad de JFrog, Guy Korolevski. «El impacto de las sofisticadas campañas de múltiples capas diseñadas para evadir la seguridad tradicional y robar datos confidenciales resalta la importancia de tener visibilidad en toda la cadena de suministro de software con un escaneo riguroso automatizado y una sola fuente de verdad para todos los componentes de software».

AUG 28, 2025RAVIE LAKSHHANARTIFIFICAL / MALware El Departamento de Control de Activos Extranjeros (OFAC) de los Estados Unidos anunció una nueva ronda de sanciones contra dos individuos y dos entidades para su papel en los programas de tecnología de la información remota de Corea del Norte (TI) para generar los ingresos ilícitos para las armas del régimen de destrucción de masas y los programas de misiles de masas. «El régimen de Corea del Norte continúa dirigiéndose a las empresas estadounidenses a través de esquemas de fraude que involucran a sus trabajadores de TI en el extranjero, que roban datos y demandan el rescate», dijo bajo el Secretario del Tesoro de Tesorismo e Inteligencia Financiera John K. Hurley. «Bajo el presidente Trump, el Tesoro está comprometido a proteger a los estadounidenses de estos esquemas y responsabilizar a los culpables». Los jugadores clave objetivo incluyen Vitaliy Sergeyevich Andreyev, Kim Ung Sun, Shenyang Geumpungri Network Technology Co., Ltd y Corea Sinjin Trading Corporation. El último esfuerzo expande el alcance de las sanciones impuestas contra la compañía de cooperación de tecnología de la información de Chinyong en mayo de 2023. Chinyong, según la firma de gestión de riesgos interna DTEX, es una de las muchas compañías de TI que han desplegado trabajadores de TI para participar en trabajos de TI independientes y robo de criptomiosos. Tiene oficinas en China, Laos y Rusia. La amenaza de los trabajadores de TI, también rastreada como famosa Chollima, Jasper Sleet, UNC5267 y Wagemole, se evalúa que está afiliado al Partido de los Trabajadores de Corea. En esencia, el esquema funciona integrando a los trabajadores de TI de Corea del Norte en empresas legítimas en los Estados Unidos y en otros lugares, asegurando estos trabajos utilizando documentos fraudulentos, identidades robadas y falsas personajes en Github, Codesandbox, Freelancer, Medium, RemoteHub, Crowdworks y Workspace.ru. Los casos seleccionados también han involucrado a los actores de amenaza que introducen clandestinamente el malware en las redes de la empresa para exfiltrar datos patentados y confidenciales, y extorsionarlos a cambio de no filtrar la información. En un informe publicado el miércoles, Anthrope reveló cómo la operación de fraude laboral se ha apoyado en gran medida en las herramientas de inteligencia artificial (IA) como Claude para crear antecedentes profesionales convincentes y carteras técnicas, adaptar reanudaciones a descripciones de trabajo específicas e incluso entregar trabajos técnicos reales. «El hallazgo más sorprendente es la dependencia completa de los actores de la IA para funcionar en roles técnicos», dijo Anthrope. «Estos operadores no parecen ser capaces de escribir código, depurar problemas o incluso comunicarse profesionalmente sin la ayuda de Claude. Sin embargo, mantienen con éxito empleo en las compañías Fortune 500 (según informes públicos), aprobando entrevistas técnicas y entregando trabajos que satisfacen a sus empleadores». The Treasury Department said Andreyev, a 44-year-old Russian national, has facilitated payments to Chinyong and has worked with Kim Ung Sun, a North Korean economic and trade consular official based in Russia, to conduct multiple financial transfers worth nearly $600,000 by converting cryptocurrency to cash in US dollars since December 2024. Shenyang Geumpungri, the department added, is a Chinese front company for Chinyong that consists of a Delegación de trabajadores de TI de la RPDC, generando más de $ 1 millón en ganancias para Chinyong y Sinjin desde 2021. «Sinjin es una RPDK [Democratic People’s Republic of Korea] Compañía subordinada a la Oficina Política General de las Fuerzas Armadas de las Fuerzas Armadas del Ministerio de la República de RPDIS sancionado por los Estados Unidos, «dijo el Tesoro.» La compañía ha recibido directivas de los funcionarios del gobierno de la RPDC sobre el DPRK de TI de TI que Chinyong despliega internacionalmente «. El anuncio se produce poco más de un mes después del departamento de tesorería de Tesoro sanciones de un tesorista del norte (Corea SoBaeksu Company) y tres asociados asociados) y tres a los que se asocian a un mes de departamento de tesorería (Jo Kyong (Jo Kyong (Jo Kyong, (Jo Kyong, (Jo Kyong, (Jo Kyong, y tres, el departamento de Jo Kyong (Jo Kyong (Jo Kyge, (Jo Kyong, (Jo Kyong, y tres. Hun y Myong Chol Min) por su participación en el esquema de trabajadores de TI. LLC, Fortuna LLC, Corea Songkwang Trading General Corporation y Corea Saenal Trading Corporation) por su participación en el esquema de evasión de sanciones.

Se ha observado que el actor de amenaza de motivación financiera conocido como Storm-0501 refina sus tácticas para realizar la exfiltración de datos y los ataques de extorsión dirigidos a los entornos de la nube. «A diferencia del ransomware tradicional local, donde el actor de amenaza generalmente despliega malware para cifrar archivos críticos en los puntos finales dentro de la red comprometida y luego negocia una clave de descifrado, el ransomware basado en la nube presenta un cambio fundamental», dijo el equipo de inteligencia de amenazas de Microsoft en un informe compartido con The Hacker News. «Aprovechar las capacidades nativas de la nube, Storm-0501 exfiltra rápidamente grandes volúmenes de datos, destruye datos y copias de seguridad dentro del entorno de víctimas y exige el rescate, todo sin depender de la implementación tradicional de malware». Microsoft documentó por primera vez Storm-0501 hace casi un año, detallando sus ataques híbridos de ransomware en la nube dirigidos al gobierno, la fabricación, el transporte y los sectores de aplicación de la ley en los Estados Unidos, con los actores de amenaza que giran desde locales hasta la nube para la exfiltración de datos posterior, el robo de credenciales y el despliegue de la reducción de la red. Evaluado como activo desde 2021, el grupo de piratería se ha convertido en un afiliado de ransomware como servicio (RAAS) que ofrece varias cargas útiles de ransomware a lo largo de los años, como Sabbath, Hive, Blackcat (AlphV), Hunters International, Lockbit y Embargo. «Storm-0501 ha seguido demostrando competencia en el movimiento entre los entornos locales y en la nube, ejemplificando cómo los actores de amenaza se adaptan a medida que crece la adopción de nubes híbridas», dijo la compañía. «Castan dispositivos no administrados y brechas de seguridad en entornos de nubes híbridos para evadir la detección y aumentar los privilegios de la nube y, en algunos casos, atravesar a los inquilinos en configuraciones de múltiples inquilinos para lograr sus objetivos». Los motos de ataque típicos involucran al actor de amenaza que abusa de su acceso inicial para lograr la escalada de privilegios a un administrador de dominio, seguido de un movimiento lateral en las instalaciones y pasos de reconocimiento que permiten a los atacantes violar el entorno de la nube del objetivo, iniciando así una secuencia de la etapa múltiple que involucra persistencia, persistencia de privilegio, exfiltración de datos, encriones y extinción y extinción. El acceso inicial, por Microsoft, se logra a través de intrusiones facilitadas por corredores de acceso como Storm-0249 y Storm-0900, aprovechando las credenciales robadas y comprometidas para iniciar sesión en el sistema de destino, o explotar varias vulnerabilidades de ejecución de código remoto conocido en servidores sin marcar públicos. En una campaña reciente dirigida a una gran empresa sin nombre con múltiples subsidiarias, se dice que Storm-0501 realizó un reconocimiento antes de moverse lateralmente a través de la red utilizando Evil-WinRM. Los atacantes también llevaron a cabo lo que se llama un ataque DCSYNC para extraer credenciales de Active Directory simulando el comportamiento de un controlador de dominio. «Aprovechando su punto de apoyo en el entorno de Active Directory, atravesaron entre los dominios de Active Directory y finalmente se movieron lateralmente para comprometer un segundo servidor de Connect ENTRA asociado con un inquilino ID diferente y el dominio de Active Directory», dijo Microsoft. «El actor de amenaza extrajo la cuenta de sincronización del directorio para repetir el proceso de reconocimiento, esta vez dirigiendo identidades y recursos en el segundo inquilino». Estos esfuerzos finalmente permitieron a STORM-0501 identificar una identidad sincronizada no humana con un papel de administración global en Microsoft Entra ID en ese inquilino, y careciendo de protecciones de autenticación multifactor (MFA). Posteriormente, esto abrió la puerta a un escenario en el que los atacantes restablecen la contraseña loca del usuario, lo que hace que se sincronice con la identidad en la nube de ese usuario utilizando el servicio de sincronización Entra Connect. Armados con la cuenta de administración global comprometida, se ha encontrado que los intrusos digitales acceden al portal de Azure, registrando a un inquilino de ID de Entra de amenazas como un dominio federado de confianza para crear una puerta trasera, y luego elevar su acceso a recursos de Azure críticos, antes de preparar el escenario para la exfiltración de datos y la extorsión. «Después de completar la fase de exfiltración, Storm-0501 inició la eliminación masiva de los recursos de Azure que contienen los datos de la organización de víctimas, evitando que la víctima tome acciones de remediación y mitigación restaurando los datos», dijo Microsoft. «Después de exfiltrar y destruir con éxito los datos dentro del entorno de Azure, el actor de amenaza inició la fase de extorsión, donde contactaron a las víctimas usando equipos de Microsoft utilizando uno de los usuarios previamente comprometidos, exigiendo un rescate». La compañía dijo que ha promulgado un cambio en Microsoft Entra ID que evita que los actores de amenaza abusen de las cuentas de sincronización de directorio para aumentar los privilegios. También ha publicado actualizaciones a Microsoft Entra Connect (versión 2.5.3.0) para admitir la autenticación moderna para permitir a los clientes configurar la autenticación basada en aplicaciones para una seguridad mejorada. «También es importante habilitar el módulo de plataforma confiable (TPM) en el servidor de sincronización Entra Connect para almacenar de forma segura credenciales confidenciales y claves criptográficas, mitigando las técnicas de extracción de credenciales de Storm-0501», agregó el gigante tecnológico.

Un grupo de actividades de amenaza conocido como Shadowsilk se ha atribuido a un nuevo conjunto de ataques dirigidos a entidades gubernamentales dentro de Asia Central y Asia-Pacífico (APAC). Según el grupo-IB, se han identificado casi tres docenas de víctimas, con las intrusiones principalmente orientadas a la exfiltración de datos. El grupo de piratería comparte el conjunto de herramientas y las superposiciones de infraestructura con campañas realizadas por los actores de amenaza denominados Yorotrooper, Sturgeonphisher y Silent Lynx. Las víctimas de las campañas del grupo abarcan Uzbekistán, Kirguistán, Myanmar, Tayikistán, Pakistán y Turkmenistán, la mayoría de las cuales son organizaciones gubernamentales y, en menor medida, entidades en los sectores de energía, fabricación, venta minorista y transporte. «La operación es realizada por una tripulación bilingüe: desarrolladores de habla rusa vinculada al código de Yorotrooper heredado y a los operadores de habla china que encabezan intrusiones, lo que resulta en un perfil de amenaza multirregional ágil y ágil», dijeron los investigadores Nikita Rostovcev y Sergei Turner. «La profundidad exacta y la naturaleza de la cooperación de estos dos subgrupos siguen siendo inciertos». Yorotrooper fue documentado públicamente por primera vez por Cisco Talos en marzo de 2023, detallando sus ataques dirigidos al gobierno, la energía y las organizaciones internacionales en toda Europa desde al menos junio de 2022. Se cree que el grupo está activo hasta 2021, según ESET. Un análisis posterior más tarde ese año reveló que el grupo de piratería probablemente consiste en individuos de Kazajstán en función de su fluidez en Kazajustes y Rusios, así como lo que parecía ser esfuerzos deliberados para evitar las entidades dirigidas en el país. Luego, a principios de enero, los laboratorios de Seqrite descubrieron ataques cibernéticos orquestados por un adversario llamado Lynx silencioso que destacó varias organizaciones en Kirguistán y Turkmenistán. También caracterizó al actor de amenaza como superpuestas con Yorotrooper. Shadowsilk representa la última evolución del actor de amenazas, aprovechando los correos electrónicos de phishing de lanza como el vector de acceso inicial para eliminar los archivos protegidos con contraseña para soltar un cargador personalizado que oculta el tráfico de comando y control (C2) detrás de los bots de telegrama para evadir la detección y entregar cargas útiles adicionales. La persistencia se logra modificando el registro de Windows para ejecutarlos automáticamente después de un reinicio del sistema. The threat actor also employs public exploits for Drupal (CVE-2018-7600 and CVE-2018-76020 and the WP-Automatic WordPress plugin (CVE-2024-27956), alongside leveraging a diverse toolkit comprising reconnaissance and penetration-testing tools such as FOFA, Fscan, Gobuster, Dirsearch, Metasploit, and Además. [like ANTSWORD, Behinder, Godzilla, and FinalShell]Las herramientas posteriores a la explotación basadas en agudas y las utilidades de túnel como el resalto y el cincel para moverse lateralmente, aumentar los privilegios y los datos de sifón «, dijeron los investigadores. Se han observado que los ataques pavimentan el camino para que una actividad de acceso remoto basado en Python (rata) pueda recibir comandos y exfiltrados datos a un telegrama, que permiten que el tráfico malicioso a la maliciosa tráfico a la maliciosa de tráfico a la maliciosa de seres se desguee. Los módulos de Cobalt Strike y MetaSploit se utilizan para obtener capturas de pantalla y imágenes de la cámara web, mientras que un script de PowerShell personalizado para los archivos que coinciden con una lista predefinida de extensiones y las copia en un archivo zip, que luego se transmite a un servidor externo de un servidor externo y se ha asaltado el acceso inicial. De las capturas de pantalla que capturan una de las estaciones de trabajo de los atacantes, con imágenes del diseño de teclado activo, la traducción automática de los sitios web del gobierno de Kirguistán en los chinos, y un escáner de vulnerabilidad de idioma chino, indica la participación de un operador de habla china, el comportamiento reciente indica que el grupo es activo, con los nuevos víctimas identificados recientemente como julio «. Asia y la región APAC más amplia, subrayando la importancia de monitorear su infraestructura para evitar el compromiso a largo plazo y la exfiltración de datos «.